SBSFU 编译
需要按顺序对下列工程进行编译,因为他们之间存在依赖关系。
1. SE_KeyLib
编译成功后的输出是一个库, SE_Key_CM4_IAR.a。这个库提供获取密钥的功能。这个密钥是由 SBSFU
用来解密和验证后续应用程序合法性的。 密钥在这里不是以” 数据“的形式出现,而是以” 一段可执
行代码“的形式存储,被 STM32 安全机制(PCROP) 保护。
X-CUBE-SBSFU 固件包里提供了一个专门的工具 KeysInject, 来进行密钥到代码的转换, 位于
STM32CubeExpansion_SBSFU_V1.0.0\Middlewares\ST\STM32_Secure_Engine\Utilities\KeysInject\B
inary\KeysInject.exe。在 windows 的命令行窗口输入以下命令:其中两个参数是用户指定的密钥字
符串(在这里使用相同的密钥) 。
KeysInject.exe OEM_KEY_COMPANY1 OEM_KEY_COMPANY1
户制作一个对应的二进制文件 OEM_KEY_COMPANY1_key.bin, 后面再生成加密的用户固件时需要。
2. SE_CoreBin
安全引擎的核心二进制文件。它作为安全引擎中间件,提供唯一的调用门( Calling gate,参见
STM32L4 参考手册中的“防火墙(Firewall) “一章) 给 SBSFU 示例应用来调用加解密函数。
SE_KeyLib 的输出 SE_Key_CM4_IAR.a,会被该工程使用。
3. SB_SFU
安全启动与安全固件更新示例应用。它使用之前生成的 SE_CoreBin。在启动时,(安全启动程序
“SB” ) 验证用户固件的签名或者认证码(MAC) 来决定是否跳到用户程序执行。(安全固件更新
“SFU” ) 如果在启动时检测到有新的固件更新,则下载加密固件,验证,以及解密安装。
4. UserAppExample
用户程序。编译输出是一个可执行程序。它也可以用来进行新版本固件(用户程序)下载,但是,它
不会进行验证与安装。验证与安装时通过重启后的安全启动程序( SecureBoot) 完成的。
固件加密与包装
要创建加密的固件,需要使用 STM32 Trusted Package Creator tool。 该软件,需要先从
http://www.st.com/en/development-tools/stm32cubeprog.html 下载 en.stm32cubeprog.zip,安装
时勾选 STM32 Trusted Package Creator tool 即可。
打开 STM32 Trusted Package Creator tool,选择“SFU” 标签项,随后做如下设置
| | 固件路径:
这是之前编译的用户程序输出,即之前需要编译的四个文件中的“ 4. UserAppExample” |
例如: STM32CubeExpansion_SBSFU_V1.0.0/Projects/STM32L476RGNucleo/Applications/UserAppExample/EWARM/UserAppExample_A/Exe/UserAppExample_A.bin
密钥文件路径:
这是之前通过 KeysInject 工具产生的密钥二进制文件。 SBSFU 软件包里已经提供了一个。
例如: STM32CubeExpansion_SBSFU_V1.0.0/Projects/STM32L476RGNucleo/Applications/UserAppExample/Binary/OEM_KEY_COMPANY1_key.bin
| | 96-bits Nonce 随机数文件路径:
用户可根据需要进行定制,软件包里已经提供了一个。 |
例如: STM32CubeExpansion_SBSFU_V1.0.0/Projects/STM32L476RGNucleo/Applications/UserAppExample/Binary/nonce.bin
以下是加密的用户应用程序对应的两部分(文件头和文件体) 对应的路径。
| | SFU 头的输出路径:
可任意设置,这里设置为工作目录 STM32CubeExpansion_SBSFU_V1.0.0。 |
SFU 文件的输出路径:
可任意设置,这里设置为工作目录 STM32CubeExpansion_SBSFU_V1.0.0。
然后点击生成按钮,就可以生成相应的安全固件的头信息以及数据文件。
| 
楼主
标题置顶
标题高亮
